Configuración de exclusiones personalizadas para Microsoft Defender Antivirus

Artículo
19/02/2025

Se aplica a:

Microsoft Defender para punto de conexión Plan 1
Microsoft Defender para punto de conexión Plan 2
Antivirus de Microsoft Defender

Plataformas

Windows

En general, no es necesario definir exclusiones para Microsoft Defender Antivirus. Sin embargo, si es necesario, puede excluir archivos, carpetas, procesos y archivos abiertos por procesos de Microsoft Defender exámenes antivirus. Estos tipos de exclusiones se conocen como exclusiones personalizadas. En este artículo se describe cómo definir exclusiones personalizadas para Microsoft Defender Antivirus con Microsoft Intune e incluye vínculos a otros recursos para obtener más información.

Las exclusiones personalizadas se aplican a los exámenes programados, a los exámenes a petición y a la protección y supervisión en tiempo real siempre activados. Las exclusiones de los archivos abiertos por procesos solo se aplican a la protección en tiempo real.

Sugerencia

Para obtener información general detallada sobre las supresiones, envíos y exclusiones en Microsoft Defender Antivirus y Defender para punto de conexión, consulte Exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus.

Ocultar las exclusiones de antivirus de usuarios o administradores locales

Configuración	Descripción	Valor predeterminado
Configurar si las exclusiones son visibles para los administradores locales	- Deshabilitado (valor predeterminado): si deshabilita o no configura esta configuración, los administradores locales podrán ver exclusiones en la aplicación Seguridad de Windows o a través de PowerShell. - Habilitado: si esta configuración está habilitada, los administradores locales ya no verán la lista de exclusión en Seguridad de Windows aplicación o a través de PowerShell. - Tenga en cuenta que la aplicación de esta configuración no quitará exclusiones, ya que impide que sean visibles para los administradores locales. Esto se refleja en Get-MpPreference.	Deshabilitada
Configuración de si las exclusiones son visibles para los usuarios locales	- Use esta configuración de directiva para configurar si las exclusiones son visibles para los administradores locales (HideExclusionsFromLocalAdmins).	Deshabilitada

Configurar y validar exclusiones

Precaución

Use Microsoft Defender extensiones antivirus con moderación. Asegúrese de revisar la información de Administrar exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus. Las variables, como %USERPROFILE% , no se interpretan en la configuración de exclusión. Se recomienda usar un formato de ruta de acceso explícito

Si usa Microsoft Intune para administrar Microsoft Defender Antivirus o Microsoft Defender para punto de conexión, use los procedimientos siguientes para definir exclusiones:

Configuración de exclusiones personalizadas para Microsoft Defender Antivirus

Si usa otra herramienta, como Configuration Manager o directiva de grupo, o desea obtener información más detallada sobre las exclusiones personalizadas, consulte estos artículos:

Administración de exclusiones de antivirus en Intune (para directivas existentes)

En el centro de administración de Microsoft Intune, elijaAntivirus de seguridad> de puntos de conexión y, a continuación, seleccione una directiva existente. (Si no tiene una directiva existente o quiere crear una nueva, vaya a Creación de una nueva directiva antivirus con exclusiones en Intune).
Elija Propiedades y, junto a Configuración, elija Editar.
Expanda Microsoft Defender Exclusiones antivirus y especifique las exclusiones.
- Las extensiones excluidas son exclusiones que se definen por extensión de tipo de archivo. Estas extensiones se aplican a cualquier nombre de archivo que tenga la extensión definida sin la ruta de acceso o carpeta del archivo. Separe cada tipo de archivo de la lista, con un tipo de archivo por línea. Para obtener más información, vea ExcludedExtensions.
- Las rutas de acceso excluidas son exclusiones que se definen por su ubicación (ruta de acceso). Estos tipos de exclusiones también se conocen como exclusiones de archivos y carpetas. Separe cada ruta de acceso de la lista, con una ruta de acceso por línea. Para obtener más información, vea ExcludedPaths.
- Los procesos excluidos son exclusiones de archivos abiertos por determinados procesos. Separe cada tipo de archivo de la lista, con un tipo de archivo por línea. Estas exclusiones no son para los procesos reales. Para excluir procesos, puede usar exclusiones de archivos y carpetas. Para obtener más información, vea ExcludedProcesses.
Elija Revisar y guardar y, a continuación, elija Guardar.

Crear una nueva directiva antivirus con exclusiones en Intune

En el centro de administración de Microsoft Intune, elijaAntivirus>+ Crear directiva de seguridad> de puntos de conexión.
Seleccione una plataforma (como Windows 10, Windows 11 y Windows Server).
En Perfil, seleccione Microsoft Defender Exclusiones de Antivirus y, a continuación, elija Crear.
En el paso Crear perfil , especifique un nombre y una descripción para el perfil y, a continuación, elija Siguiente.
En la pestaña Configuración , especifique las exclusiones de antivirus y, a continuación, elija Siguiente.
- Las extensiones excluidas son exclusiones que se definen por extensión de tipo de archivo. Estas extensiones se aplican a cualquier nombre de archivo que tenga la extensión definida sin la ruta de acceso o carpeta del archivo. Separe cada tipo de archivo de la lista con un | carácter. Por ejemplo, lib|obj. Para obtener más información, vea ExcludedExtensions.
- Las rutas de acceso excluidas son exclusiones que se definen por su ubicación (ruta de acceso). Estos tipos de exclusiones también se conocen como exclusiones de archivos y carpetas. Separe cada ruta de acceso de la lista, con una ruta de acceso por línea. Para obtener más información, vea ExcludedPaths.
- Los procesos excluidos son exclusiones de archivos abiertos por determinados procesos. Separe cada tipo de archivo de la lista, con un tipo de archivo por línea. Estas exclusiones no son para los procesos reales. Para excluir procesos, puede usar exclusiones de archivos y carpetas. Para obtener más información, vea ExcludedProcesses.
En la pestaña Etiquetas de ámbito, si usa etiquetas de ámbito en su organización, especifique las etiquetas de ámbito para la directiva que va a crear. (Consulte Etiquetas de ámbito).
En la pestaña Asignaciones , especifique los usuarios y grupos a los que se debe aplicar la directiva y, a continuación, elija Siguiente. (Si necesita ayuda con las asignaciones, consulte Asignación de perfiles de usuario y dispositivo en Microsoft Intune).
En la pestaña Revisar y crear , revise la configuración y, a continuación, elija Crear.

Puntos importantes sobre exclusiones

La definición de exclusiones reduce la protección que ofrece Microsoft Defender Antivirus. Siempre debe evaluar los riesgos asociados a la implementación de exclusiones y solo debe excluir los archivos que esté seguro de que no son malintencionados.

Las exclusiones afectan directamente a la capacidad de Microsoft Defender Antivirus de bloquear, corregir o inspeccionar eventos relacionados con los archivos, carpetas o procesos que se agregan a la lista de exclusión. Las exclusiones personalizadas pueden afectar a las características que dependen directamente del motor antivirus (como la protección contra malware, los IOC de archivos y los IOC de certificado). Las exclusiones de procesos también afectan a las reglas de protección de red y reducción de superficie expuesta a ataques. En concreto, una exclusión de procesos en cualquier plataforma hace que las funcionalidades de protección de red y reducción de superficie expuesta a ataques no puedan inspeccionar el tráfico ni aplicar reglas para ese proceso específico.

Recuerde estos puntos importantes:

Las exclusiones son técnicamente una brecha de protección. Tenga en cuenta todas las opciones al definir exclusiones. Consulte Envíos, supresiones y exclusiones.
Revise las exclusiones periódicamente. Vuelva a comprobar y volver a aplicar las mitigaciones como parte del proceso de revisión.
Idealmente, evite definir exclusiones en un intento de ser proactivo. Por ejemplo, no excluya algo solo porque cree que podría ser un problema en el futuro. Use exclusiones solo para problemas específicos, como los relacionados con el rendimiento o la compatibilidad de aplicaciones que las exclusiones podrían mitigar.
Revise y audite los cambios en la lista de exclusiones. El equipo de seguridad debe conservar el contexto de por qué se agregó una exclusión determinada para evitar confusiones más adelante. El equipo de seguridad debe poder proporcionar respuestas específicas a preguntas sobre por qué existen exclusiones.

Auditoría de exclusiones de antivirus en sistemas Exchange

Microsoft Exchange ha admitido la integración con la interfaz de examen antimalware (AMSI) desde la Novedades trimestral de junio de 2021 para Exchange (consulte Ejecución de software antivirus de Windows en servidores exchange). Se recomienda encarecidamente instalar estas actualizaciones y asegurarse de que AMSI funciona correctamente. Consulte Microsoft Defender Actualizaciones de productos e inteligencia de seguridad del antivirus.

Muchas organizaciones excluyen los directorios de Exchange de los exámenes antivirus por motivos de rendimiento. Microsoft recomienda auditar Microsoft Defender exclusiones de Antivirus en sistemas Exchange y evaluar si las exclusiones se pueden quitar sin afectar al rendimiento en su entorno para garantizar el nivel más alto de protección. Las exclusiones se pueden administrar mediante directiva de grupo, PowerShell o herramientas de administración de sistemas como Microsoft Intune.

Para auditar las exclusiones Microsoft Defender Antivirus en un Exchange Server, ejecute el comando Get-MpPreference desde un símbolo del sistema de PowerShell con privilegios elevados. (Consulte Get-MpPreference).

Si no se pueden quitar exclusiones para los procesos y carpetas de Exchange, tenga en cuenta que la ejecución de un examen rápido en Microsoft Defender Antivirus examina los directorios y archivos de Exchange, independientemente de las exclusiones.

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.

Recursos adicionales

Documentación

Configuración de exclusiones para archivos abiertos por procesos específicos - Microsoft Defender for Endpoint

Puede excluir archivos de los exámenes si un proceso específico los ha abierto.
Exclusiones contextuales de archivos y carpetas - Microsoft Defender for Endpoint

Describe la funcionalidad de exclusiones de archivos y carpetas contextuales para Microsoft Defender Antivirus en Windows. Esta funcionalidad le permite ser más específico al definir en qué contexto Microsoft Defender Antivirus no debe examinar un archivo o carpeta, aplicando restricciones
Configuración y validación de exclusiones basadas en la extensión, el nombre o la ubicación - Microsoft Defender for Endpoint

Excluya archivos de Microsoft Defender Antivirus en función de su extensión de archivo, nombre de archivo o ubicación.
Errores comunes para evitarlos cuando se definen exclusiones - Microsoft Defender for Endpoint

Evite errores comunes al definir exclusiones para los exámenes del Antivirus de Microsoft Defender.
Información general sobre exclusiones - Microsoft Defender for Endpoint

Obtenga información sobre cómo navegar por las exclusiones de Defender para punto de conexión y Microsoft Defender Antivirus.
Referencia de administración de exclusiones - Microsoft Defender for Endpoint

En este artículo se describen varias maneras de administrar las exclusiones de Defender para punto de conexión y Microsoft Defender Antivirus
Administrar las exclusiones de carpeta de automatización - Microsoft Defender for Endpoint

Agregue exclusiones de carpetas de automatización para controlar los archivos que se excluyen de una investigación automatizada.
exclusiones de antivirus de Microsoft Defender en Windows Server - Microsoft Defender for Endpoint

Windows Server incluye exclusiones automáticas basadas en el rol de servidor. También puede agregar exclusiones personalizadas.

Cursos

Módulo

MD-102 2-Administración de Microsoft Defender para punto de conexión - Training

En este módulo se explora el uso de Microsoft Defender para punto de conexión para proporcionar protección adicional y supervisar dispositivos frente a amenazas.

Certificación

Microsoft 365 Certified: Endpoint Administrator Associate - Certifications

Planee y ejecute una estrategia de implementación de puntos de conexión mediante elementos esenciales de la administración moderna, los enfoques de administración conjunta y la integración de Microsoft Intune.

Compartir a través de